Посетил меня сегодня сей добрый и пушистый зверек. (Не путать с песцом, хотя… Путайте, они друзья товарищи скорее всего)
Обнаружен был по неадекватной страсти к созданию копии exe-шника с расширением vir и размером чуть побольше оригинала. Был прибит, при попытке к размножению(надеюсь).
Его особые (и неочень) свойства:
- Подменяет исполняемые файлы.
Создает зараженную копию файла а потом тихонечко так ррраз и нету старого. Прощай мой патч для DMC3. Ты погиб, но жертва твоя не напрасна. - Прописывается в реестр – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run с наглым именем System Rescue. имя файла в моем случае dllhosl.exe Производитель: BitDefender (От сволочи )
- Его дроппер падает в %HOME%/Local Settings/Temp и антивирусом не определяется.
Отличная причина зарезать запуск программ из временных папок. - Антивирус Comodo отлично различает его жертв, но дроппера и ту мелочь что сидела в автозагрузке не признает за вирус.
- Пойман через эксплойт для ФФ 3.6.16 видимо с какого-то баннера (чтоб я еще раз без AdBlock и со включенными скриптами куда-то полез?!!!)
Вот как-то так. Желающим могу отдать в хорошие руки на анализы.